减少误报入侵的选项

简介

入侵防御系统可能针对特定Snort规则生成过多警报。警报可能为true或false。如果您收到许多误报警报，有几个选项可用于减少这些警报。  本文概述了每种选项的优缺点。

减少误报警报的选项

注意：这些选项通常不是最佳选择，在特定情况下可能是唯一的解决方案。

1.向思科技术支持部门报告

如果您发现触发良性流量警报的Snort规则，请将其报告给思科技术支持。  报告后，客户支持工程师将问题上报给漏洞研究团队(VRT)。VRT研究对规则的可能改进。通常，改进的规则一旦可用就会提供给报告者，并且还会添加到下一次正式规则更新。

2.信任或允许规则

允许受信任流量在不进行检测的情况下通过Sourcefire设备的最佳选项是启用Trust或Allow操作，而无需关联的入侵策略。要配置Trust或Allow规则，请导航到Policies > Access Control > Add Rule。

注意：未配置为匹配用户、应用或URL的信任或允许规则的流量对Sourcefire设备的整体性能影响最小，因为此类规则可在FirePOWER硬件中处理。

图：信任规则的配置

3.禁用不必要的规则

您可以禁用针对旧漏洞和已修补漏洞的Snort规则。它可提高性能并减少误报。使用FireSIGHT建议有助于完成此任务。  此外，经常生成低优先级警报或不可操作的警报的规则可能是从入侵策略中删除的良好候选。

4.阈值

可以使用Threshold减少入侵事件的数量。这是一个很好的配置选项，可配置规则何时在正常流量上定期触发有限数量的事件，但如果超过特定数量的数据包与规则匹配，则可能指示问题。  可以使用此选项减少由噪声规则触发的事件数。 

图：  阈值配置

5.压制

可以使用抑制完全消除事件通知。其配置类似于Threshold选项。

警告：抑制可能会导致性能问题，因为虽然不会生成任何事件，但Snort仍然必须处理流量。

注意：抑制不会阻止丢弃规则丢弃流量，因此当流量与丢弃规则匹配时，可能会以静默方式丢弃流量。

6.快速路径规则

与访问控制策略的信任和允许规则相似，快速路径规则也可以绕过检测。  Cisco技术支持一般不建议使用快速路径规则，因为它们在设备页面的高级窗口中配置，在访问控制规则几乎总是足够的情况下，很容易被忽略。 

图：Advanced窗口中的Fast-Path Rules选项。

使用快速路径规则的唯一优点是它们可以处理更大的最大流量。  快速路径规则在硬件级别处理流量（称为NMSB），理论上可以处理高达200 Gbps的流量。  相反，具有Trust和Allow操作的规则将提升到网络流引擎(NFE)，最多可以处理40 Gbps的流量。

注意：快速路径规则仅在8000系列设备和3D9900上可用。

7.通行规则

为了防止特定规则对来自特定主机的流量触发（而来自该主机的其他流量需要检查），请使用pass type Snort规则。事实上，这是实现这一目标的唯一方法。  虽然通行证规则有效，但是它们可能很难维护，因为通行证规则是手动编写的。  此外，如果规则更新修改了原始的通行规则，则需要手动更新所有相关通行规则。否则，它们可能会变得无效。

8. SNORT_BPF变量

入侵策略中的Snort_BPF变量允许某些流量绕过检测。  虽然此变量是旧软件版本的首批选择之一，但Cisco技术支持建议使用访问控制策略规则绕过检测，因为它更细致、更可视且更易于配置。